Nieuws
image

Microsoft trekt XP patch-of-death terug

vrijdag 12 februari 2010, 09:41 door Redactie, 8 reacties

Microsoft heeft bevestigd dat de beveiligingsupdate voor een 17-jaar oud Windows-lek, bij een "beperkt aantal" gebruikers voor problemen zorgt. Een dag na het uitkomen van de februari updates klaagden verschillende gebruikers over een Blue Screen of Death, waardoor hun computer niet meer werkte. Inmiddels hebben zich nog veel meer gedupeerden op het Microsoft forum gemeld. Uit eerste onderzoek van de softwaregigant blijkt dat MS10-015 de boosdoener is. "We hebben nog niet bevestigd dat het probleem specifiek met MS10-015 heeft te maken of dat het een interoperabiliteitsprobleem met een ander onderdeel of third-party software is", zegt Security Communications Manager Jerry Manager.

Het onderzoek is inmiddels in volle gang, maar uit voorzorg is Microsoft gestopt met het aanbieden van de update via Windows Update. Zakelijke gebruikers met SMS of WSUS zullen de update wel zien en kunnen er zelf voor kiezen om die uit te rollen.

Oplossing
De MS10-015 update verhelpt een beveiligingslek waardoor een aanvaller zijn of haar rechten op een systeem kon verhogen. Om de aanval uit te voeren moet de aanvaller wel over inloggegevens beschikken. De kwetsbaarheid bevindt zich in de Windows-kernel, die niet met bepaalde uitzonderingen kan omgaan. Alle 32bit Windows-versies sinds 27 juli 1993 zijn kwetsbaar. In afwachting op een gepatchte patch, kunnen gebruikers de eerder voorgestelde oplossing toepassen.

Reacties (8)
12-02-2010, 09:51 door Anoniem
Heel verstandig van MS, echter dit had wel voorkomen kunnen worden. Trouwens voordat hier weer geflamed wordt, over drivers van derden. Microsoft vertelt software fabrikanten waar drivers aan moeten voldoen, niet andersom. Dat er soms wijzigingen zijn na een service pack ...oké ... Maar dan had MS tocht echt even mensen duidelijk moeten aangeven dat ze eerst drivers moeten updaten en niet stiekum achteraf
12-02-2010, 10:39 door Bitwiper
Patrick W. Barnes en ik hebben een sterk vermoeden dat de BSOD's na MS10-015 worden veroorzaakt door een rootkit die wijd verspreid lijkt. Zie http://isc.sans.org/diary.html?storyid=8209.

De betreffende rootkit, een Tdss variant, grijpt diep in op kernel componenten en maakt daarbij zeer waarschijnlijk gebruik van ongedocumenteerde eigenschappen van kernel componenten die door MS10-015 worden gewijzigd. Zo'n rootkit is overigens niet of nauwelijks te detecteren op een draaiend besmet systeem.

Het lijkt er dus sterk op dat Microsoft in dit geval niets te verwijten valt. Alleen als onze theorie klopt kun je je afvragen of het uit de lucht halen van een securityupdate vanwege problemen met gecompromitteerde PC's een goed idee is. Aan de andere kant begrijp ik wel dat Microsoft dit, ondanks dat ze heus wel uitgebreide tests in hun lab hebben uitgevoerd voor het uitbrengen van de patch, zeker wil weten wat er aan de hand is.
12-02-2010, 11:07 door Anoniem
Wat nou "beperkt aantal"? Moeten we weer eens uithalen naar Microsoft? Het is inderdaad een beperkt aantal ja!
12-02-2010, 13:32 door meinonA
Door Bitwiper: Het lijkt er dus sterk op dat Microsoft in dit geval niets te verwijten valt.

Bwahahaha!!! :P

Waarom ondersteunt Windows dan rootkits? Is dat niet een grove kwetsbaarheid van Windows? Omdat Windows zo toegankelijk is voor virussen, rootkits, malware, etc valt MS juist heel erg veel te verwijten.

En iets van 99% van alle Windows machines zijn besmet met minimaal 1 rootkit/malware/virus/etc dus MS moet ook testen of die patch wel op die machines werkt.
12-02-2010, 13:40 door Anoniem
Een rootkit is natuurlijk ook third-party software :-)
12-02-2010, 17:27 door Bitwiper
Door meinonA:
Door Bitwiper: Het lijkt er dus sterk op dat Microsoft in dit geval niets te verwijten valt.
Omdat Windows zo toegankelijk is voor virussen, rootkits, malware, etc valt MS juist heel erg veel te verwijten.
Daar heb je grotendeels gelijk in, maar er ligt ook een verantwoordelijkheid bij de gebruiker. Veel van hen ervaren security als lastig, tijdrovend en duur of het interesseert ze gewoon niet.
Waarom ondersteunt Windows dan rootkits? Is dat niet een grove kwetsbaarheid van Windows?
Nee, andere besturingssystemen, waaronder met name Linux, "ondersteunen" ook rootkits. Sterker, er zouden wel eens meer soorten rootkits dan virussen en wormen voor Linux kunnen bestaan.
En iets van 99% van alle Windows machines zijn besmet met minimaal 1 rootkit/malware/virus/etc dus MS moet ook testen of die patch wel op die machines werkt.
Ik begrijp je frustratie maar dit is onzin.
12-02-2010, 22:08 door Anoniem
Door Bitwiper:
Door meinonA:
Door Bitwiper: Het lijkt er dus sterk op dat Microsoft in dit geval niets te verwijten valt.
Waarom ondersteunt Windows dan rootkits? Is dat niet een grove kwetsbaarheid van Windows?
Nee, andere besturingssystemen, waaronder met name Linux, "ondersteunen" ook rootkits. Sterker, er zouden wel eens meer soorten rootkits dan virussen en wormen voor Linux kunnen bestaan.
Sterker nog de term "Rootkit" komt uit de *nix wereld
12-02-2010, 22:37 door Bitwiper
Ondertussen schrijft Microsoft hier: http://blogs.technet.com/msrc/archive/2010/02/12/update-restart-issues-after-installing-ms10-015.aspx
In our continuing investigation in to the restart issues related to MS10-015 that a limited number of customers are experiencing, we have determined that malware on the system can cause the behavior. We are not yet ruling out other potential causes at this time and are still investigating.
M.a.w. malware is zeker een oorzaak, maar Microsoft sluit daarnaast andere oorzaken nog niet uit.

Brian Krebs heeft een nieuwe blogpost online gezet waarin hij de ervaringen van Patrick W. Barnes deelt, zie: http://www.krebsonsecurity.com/2010/02/rootkit-may-be-culprit-in-recent-windows-crashes/.

Als het om malware gaat is het jammer dat Microsoft MS10-015 (tijdelijk) niet meer via automatische updates verspreidt. Dat stelt de illegale "eigenaren" van besmette PC's in staat om hun rootkits te "repareren" zodat deze de PC niet meer met een BSOD zal laten crashen zodra Microsoft MS10-015 weer gaat pushen. Iedereen blij! (of niet?)

Een beschrijving van de TDSS rootkit, welke in elk geval door Patrick W. Barnes als oorzaak van de BSOD's is aangewezen, noemt Microsoft "Alureon.A" (zie http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Virus:Win32/Alureon.A). Deze rootkit kan overigens ook andere drivers dan atapi.sys infecteren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search